🔑 角色
Open WebUI 实现了一个结构化的基于角色的访问控制系统,包含三种主要用户角色
| 角色 | 描述 | 默认创建 |
|---|---|---|
| 管理员 | 具有完全控制权的系统管理员 | 第一个用户账户 |
| 普通用户 | 具有有限权限的标准用户 | 后续经批准的用户 |
| 待定用户 | 等待管理员激活的未批准用户 | 新注册用户(可配置) |
角色分配
- 第一个用户: 在新的 Open WebUI 实例上创建的第一个账户会自动获得管理员权限。
- 后续用户: 新用户注册会根据
DEFAULT_USER_ROLE配置分配默认角色。
新注册用户的默认角色可以使用 DEFAULT_USER_ROLE 环境变量进行配置
DEFAULT_USER_ROLE=pending # Options: pending, user, admin
当设置为 "pending"(待定)时,新用户必须由管理员手动批准才能获得系统访问权限。
用户群组
群组允许管理员进行以下操作:
- 一次性为多个用户分配权限,简化访问管理
- 通过将特定资源(模型、工具等)的访问设置为“私有”,然后向特定群组开放访问来限制对其的访问
- 群组对资源的访问权限可以设置为“读取”或“写入”
群组结构
Open WebUI 中的每个群组包含:
- 唯一的标识符
- 名称和描述
- 所有者/创建者引用
- 成员用户ID列表
- 权限配置
- 附加元数据
群组管理
群组可以:
- 由管理员通过用户界面手动创建
- 当启用
ENABLE_OAUTH_GROUP_MANAGEMENT时,从 OAuth 提供者自动同步 - 当
ENABLE_OAUTH_GROUP_MANAGEMENT和ENABLE_OAUTH_GROUP_CREATION都启用时,从 OAuth 声明自动创建
OAuth 群组集成
启用 OAuth 群组管理后,用户群组成员身份会与 OAuth 声明中接收到的群组同步
- 用户会被添加到与其 OAuth 声明匹配的 Open WebUI 群组
- 用户会被从其 OAuth 声明中不存在的群组中移除
- 启用
ENABLE_OAUTH_GROUP_CREATION后,Open WebUI 中不存在但存在于 OAuth 声明中的群组会自动创建